CVE-2023-30549 in apptainerinformazioni

Riassunto

di VulDB • 16/06/2026

Apptainer è una piattaforma di container open source per Linux. È presente un difetto use-after-free relativo al filesystem ext4 che può essere sfruttato nelle versioni di Apptainer < 1.1.0, negli installazioni che includono apptainer-suid < 1.1.8 e in tutte le versioni di Singularity con la configurazione predefinita su sistemi operativi più vecchi per i quali tale CVE non è stata ancora corretta. Ciò include Red Hat Enterprise Linux 7, Debian 10 buster (a meno che il pacchetto linux-5.10 non sia installato), Ubuntu 18.04 bionic e Ubuntu 20.04 focal. I difetti use-after-free nel kernel possono essere utilizzati per attaccare il kernel causando denial of service e potenzialmente per l'escalation dei privilegi.

Apptainer 1.1.8 include una patch che, per impostazione predefinita, disabilita il montaggio di filesystem di tipo extfs in modalità setuid-root, continuando a consentire il montaggio di filesystem extfs in modalità "rootless" non-setuid utilizzando fuse2fs.

Sono possibili alcune soluzioni alternative (workaround). È possibile evitare di installare apptainer-suid (per le versioni da 1.1.0 a 1.1.7) oppure impostare `allow setuid = no` nel file apptainer.conf (o singularity.conf per le versioni di Singularity). Questo richiede che gli user namespace non privilegiati siano abilitati e, ad eccezione delle versioni di Apptainer 1.1.x, impedirà il montaggio dei file sif, extfs e squashfs, oltre ad altri impatti meno significativi. (I file SIF crittografati non sono supportati in modalità non privilegiata nemmeno nelle versioni di Apptainer 1.1.x.). In alternativa, utilizzare le opzioni `limit containers` nel file apptainer.conf/singularity.conf per limitare i file sif agli utenti, ai gruppi e/o ai percorsi attendibili, e impostare `allow container extfs = no` per impedire il montaggio dei file overlay extfs. La sola opzione precedente non impedisce il montaggio delle partizioni overlay extfs all'interno dei file SIF, motivo per cui sono necessarie anche le opzioni precedenti.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

12/04/2023

Divulgazione

26/04/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00369

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!